CIAフォーラムNo.e10表紙

Transcription

1 CIA フォーラム No.e10 成果物 有効な三層ディフェンスラインの整備に向けて 内部監査部門の進むべき方向性 CIA フォーラム は CIA 資格保持者の研鑽及び相互交流を目的に活動する 一般社団法人日本内部監査協会の組織上の研究会のひとつである 各 CIA フォーラム研究会は 担当の座長が責任をもって自主的に運営し 研究期間 目標成果を設定し 研究成果を発信している この研究報告書は CIA フォーラム No.e10 研究会が その活動成果として取りまとめたものである 報告書に記載された意見やコメントは 研究会の見解であり協会の見解を代表するものではない

2 有効な三層ディフェンスラインの整備に向けて 内部監査部門の進むべき方向性 目次 はじめに... 1 第 1 章 三層ディフェンスラインの具体的な展開... 1 第 2 章 当研究会において認識された各層の課題... 4 (1) 第 1のディフェンスラインにおける課題... 4 (2) 第 2のディフェンスラインにおける課題... 5 (3) 第 3のディフェンスラインにおける課題... 6 第 3 章 有効な三層ディフェンスラインの整備に向けて... 7 (1) 第 1のディフェンスラインの整備について... 8 (2) 第 2のディフェンスラインの整備について... 9 (3) 第 3のディフェンスラインの整備について... 9 第 4 章 内部監査部門が今後進むべき方向性についての提案... 10

3 はじめに IIA のポジションペーパー 有効なリスクマネジメントとコントロールにおける 3 本のディフェンスライン (The Three Line of Defense Effective Risk Management and Control, January 2013) では 組織体としてリスクマネジメントと内部統制を効果的 効率的に機能させることを目的に 3 本のディフェンスライン いわゆる三層ディフェンスラインという考え方 ( アプローチ ) が提示された この三層ディフェンスラインという考え方は その後 改定された内部統制のフレームワークやエンタープライズ リスク マネジメント ( 以下 ERM) のフレームワークでも 組織体としてリスクマネジメントと内部統制を効果的 効率的に機能させるアプローチとして採用されている そこで この報告書ではまず三層ディフェンスラインのアイディアを どのように組織に落とし込むことが可能であるか このアプローチの具体化について考察を行う 次に このアプローチを組織に落とし込んだ際に想定される各層の課題を 我が国企業の現況等を踏まえ考察する そして最後にそれに対する解決の方向性を検討する 第 1 章 三層ディフェンスラインの具体的な展開 三層ディフェンスラインにおける各ディフェンスラインの関係性については 業務活動を行う現場の管理者 ( 第 1 のディフェンスライン ) が管理活動を遂行し 業務活動に関する規則 規程を定める間接管理部門 ( 第 2 のディフェンスライン ) がこの遂行状況をモニターする そして 監査部門 ( 第 3 のディフェンスライン ) は これらの統制活動が適切に機能しているかどうかを確認し保証するということである すなわち 統制活動の推進主体は第 1 のディフェンスラインと第 2 のディフェンスラインであり これらが適切に機能することで統制が機能するということを前提に 第 3 のディフェンスラインである監査部門は他のディフェンスラインの活動状況をトップマネジメントに代わって確認するという枠組みである 事業ラインによる管理の構造と管理機能の主管部署のラインによる管理の構造から成立しているわけだが この組織上の具体的な活動については やはり縦と横の複数のラインで業務を管理するマトリクス組織の視点から検討することができるだろう その視点を踏まえて 三層ディフェンスラインの概要を考察したのが下図である 第 2 層 管理部門 総務法務経理人事他 事業部門 事業 1 事業 2 事業 3 第 1 層 第三層が第二層をモニタリングする時は 各部門に対する当部門の管理 指導状況を確認する 第三層が第一層をモニタリングする時は 各部門の統制活動の状況を見るために 機能横断的に確認する ホールディングカンパニーと各子会社や 或いは単純な親会社と子会社の関係についても基本的には同じである まず ホールディングカンパニーについてみてみる ホールディングカンパニーの各間接部門は 第 2 のディフェンスラインとして 各間接機能についてグループの基本となる手順 指針を作成 指示し その運用を支援するとともに活動状況をモニタリングし 適宜改善を指導する ホールディングカンパニーの内部監査部門は第 3 のディフェンスラインとして 各間接部門が第 2 のディフェンスラインとして 適切に活動し機能していることを確認し そのことをホールディングカンパニーのトップマネジメントに対して報告する ( 統制状況の保証 ) グループの各社は ホールディングカンパニーのトップマネジメントに対しては オペレーションを司る第 1 のディフェンスラインとして事業活動に関わる統制状況を報告する 1

4 グループ各社を見ると 各社の本社間接部門は各社の第 2 のディフェンスラインとして 各間接機能についてグループの指針に基づいて 基本となる自社の手順 指針を作成 指示し その運用を支援するとともに活動状況をモニタリングし 適宜改善を指導する そして 各社の内部監査部門は第 3 のディフェンスラインとして 当該各間接部門が第 2 のディフェンスラインとして 適切に活動し機能していることを確認し そのことを各社のトップマネジメントに対してアシュアする ( 保証する ) このように ホールディングカンパニー制の下では 企業グループという視点での三層ディフェンスラインの区分と各社での三層ディフェンスラインの区分という 2 重の構造になることが考えられる また 各社の業務を遂行する部署は 各社の本社間接部門と各事業ラインに対して統制活動の実施状況を報告するというダブルレポートラインの下にある 一方 各社の本社間接部門は 各社のトップマネジメントとホールディングカンパニーの間接部門に対してモニタリングの結果を報告するというダブルレポートラインの下にある このことを取りまとめたのが下図である ホールディング 管理部門 総務 法務 経理 人事 他 企業グループの第 2 層 各社の第 2 層 会社 A 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 各社の第 1 層 会社 B 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 企業グループの第 1 層 第三層が第二層をモニタリングする時は 各社 各部門に対する当部門の管理 指導状況を確認する なお 情報システム ( 以下 IT) については システムの連動性 構造 本体 関係会社間の関係によるが 子会社本社レベルでの二層レベルの機能 役割は限定的になる場合が考えられる 例えば 子会社本社レベルでは IT 機能については本体 ( もしくはホールディングカンパニー ) の IT 部門の指示に従うというシングルレポーティングラインになる場合もある 本体 ( もしくはホールディングカンパニー ) の IT 部門の延長という位置づけの場合も考えられるということである それを図示したのが下記である 第三層が第一層をモニタリングする時は 当社の状況を見るために 機能横断的に確認する 2

5 ホールディングカンパニー制を取らない 親会社 子会社については 企業グループにとっての第 1 のディフェンスラインの位置づけは異なるが それ以外は基本的に同じと考えることができる これを表したのが下図である 親会社 企業グループの第 2 層 第 2 層 管理部門 総務 法務 経理 人事 他 事業部門 第 1 層 会社 A 企業グループの第 1 層 会社 B 各社の第 2 層 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 各社の第 1 層 親会社の第 1 層 ( 事業部門 ) が企業グループの第 1 層として各社の第 1 層の統制状況を確認する 3

6 第 2 章 当研究会において認識された各層の課題このフレームワークを組織として有効に機能させる上での課題を検討するに当たり 近時の問題事例を考察する 次に このフレームワークを組織に落とし込んだモデルを踏まえながら 各層が現実に直面している 或いは直面することが想定される問題点 課題を考察する まず第三者委員会報告書の近時の 2 つの事例 12 を踏まえて 各層の課題をみる 一つは昭和電工株式会社の子会社である昭光通商株式会社 ( 以下 昭光通商社 ) の子会社が絡んだもので 当該子会社もその親会社の昭光通商社も不正取引を見抜けなかったという事例であり もう一つは富士ゼロックス株式会社 ( 以下 富士ゼロックス社 ) の海外の子会社で発生した不適切会計の事例である 1 第 1 のディフェンスラインの限界 売上追求に走りがちになること 内部統制 リスクコントロールに対する知識 経験が十分ではないこと マネジメントオーバーライドへの対抗力の弱さ昭光通商社の例では 担当役員も含め 当該事業に対する内部統制のアプローチが弱く 与信管理条件の履行段階で不正発見の端緒を得ることができず 事態が大きくなるまで不正取引を見抜けなかった 富士ゼロックス社の例では売上追求に走った現地の Managing Director( 以下 MD) が独走し これに やはり売上追求に走った地域 HQ のマネジメントおよび本社担当取締役が共謀するという事態が生じた 2 第 2 のディフェンスラインの限界 リソース面 権限面からの管理能力の限界 機能 体制整備に係る手間暇の膨大さ マネジメントオーバーライドへの対抗力の弱さ昭光通商社の例では 第 2 のディフェンスラインに 十分なリソースもなく適切な管理が遂行されず 関係書類の不備等をチェックすることができなかった 富士ゼロックス社の例では現地の MD 地域 HQ のマネジメント HQ の担当取締役によるマネジメントオーバーライドの前に十分な機能を発することができなかった 3 第 3 のディフェンスラインの限界 人材の配置 ( 質 量 ) トップマネジメントとのコミュニケーションの状況 マネジメントオーバーライドという点から影響を受ける事例でみると 昭光通商社の例 富士ゼロックス社の例とも十分な人材の投下が行われず 十分な監査を行うことができなかった さらに富士ゼロックス社では監査チームが本社 HQ( 監査部門やトップマネジメント ) とのダイレクトなコミュニケーションを取る形になっていなかったために 地域のマネジメントオーバーライドに屈することになった 次に各層の課題を個別にみていく (1) 第 1 のディフェンスラインにおける課題第 1 のディフェンスラインとは 現業部門の管理者による責任範疇のことである 第 1 のディフェンスラインである現業部門の管理者は その責任範囲において リスクを把握し管理する責任を負う すなわち 現業部門の管理者は リスクに対するコントロールに不備があった場合 これを是正する責任を負っている その一方で 現業部門の管理者は 自部門の業績にも直接の責任を負う 彼らは直接的にビジネスやプロセスを通して 通常の管理及び監督活動を中心にリスクを所有し 管理している為 その責任範囲における業績にも直接責任を負っていると言える この責任を果たすために 彼らは日々の業務における内部統制を維持し リスクが管理されていることを確かめる必要があり その中でプロセスやコントロールの欠陥に対する是正措置を講じる一連の手続きを行う また 現業部門の管理者は より上位の経営者又は管理者に対し 内部で行う報告を通じて こういった責任の遂行についてアシュアランスを提供する 現業部門の管理者は自らが責任を負う業務が対象なので それに対する知識や経験は豊富であるし 日常的 1 昭光通商株式会社設置特別調査委員会 調査報告書 (2017 年 4 月 17 日 ) 2 富士フィルムホールディングス株式会社設置第三者委員会 調査報告書 (2017 年 6 月 10 日 ) 4

7 評価もできるため 問題発生時には迅速に対応できる しかしながら 内部統制やリスクマネジメントに対する知識や専門性を充分に有していない場合もあり 部門の業績にも直接の責任を負うため ディフェンスラインとして十分な機能を果たすのは難しい 特に 組織の評価システムは 一般的に 現業部門の管理者がリスクのコントロールに寄与することよりも 自部門の業績の維持 向上を通して より評価される仕組みとなっている このことから 現業部門の管理者は 自部門の業績の維持 向上に重きを置き リスクのコントロールを軽視する傾向となりやすい 具体的な問題点として 以下の事項が当研究会で意見として出ている 1 リスクを過少に評価する傾向業績の維持 向上を最優先の目的として設定する結果 リスクを過少に評価し 活動にブレーキがかかりにくい 2 社内ルールの軽視 又は認識不足第 1 のディフェンスラインは 概してリスクをコントロールするためのコスト 手間を回避する傾向にあり 結果 社内ルールを軽視する傾向にある また 社内ルールに関し 認識不足が生じている場合もある 3 レポーティングの不十分性及び改ざん可能性リスク等に係るレポーティングが リスクを過小評価することにより報告が不十分になること あるいは 自身の評価が下がることを恐れて意図的に改ざんされるか隠ぺいされる可能性がある (2) 第 2 のディフェンスラインにおける課題 第 2 のディフェンスラインは 間接管理部門が各責任領域において 方針 手続きを整備 その運用状況を評価し 第 1 のディフェンスラインを担う現業部門に必要な助言を与えることにより リスクマネジメントとコンプライアンスの機能を担う 第 1 のディフェンスラインからは分離しているものの トップマネジメントの監督指揮下にある 第 2 のディフェンスラインである間接管理部門は 第 1 のディフェンスラインを担う現業部門の責任者と密接に連携し リスクの専門知識の提供 方針と手続きの導入 リスクとコントロールの全社的視点を生み出すための情報収集を支援する だが 現業部門の業績により直接影響を受けることはない また 責任領域における第 1 のディフェンスラインの統制制度構築とその適切な運用の支援 モニタリングなども含む 第 2 のディフェンスラインとして想定している会社機能 ( 部署 ) は 以下の通りである 財務管理 情報セキュリティ リスクマネジメント 品質 検査 コンプライアンス 法務 サプライチェーン これらの会社機能は それぞれの責任領域において リスクを管理するためのプロセスとコントロールを設計整備することにより現業部門の責任者を支援するだけでなく モニターすべき活動およびトップマネジメントの期待と比較した達成度の測定方法の決定にも責任を担うことになる 重大な問題やリスク 異常値を発見し トップマネジメントに報告する リスクマネジメントの視点では 組織の潜在的なリスク選好とリスク許容度の変化の識別を行う また リスクマネジメントとコントロールプロセスに関するガイダンスと研修も提供する 例えば 財務管理部門は 業務分掌規程や決裁規程に違反する取引がないかを単純に規程に照らし合わせるだけでなく 不自然な取引がないかに敏感であることが求められる リスクマネジメント部門は 表面化したリスクに留まることなく 潜在的なリスクにまで踏み込むことが必要になってくる 何が潜在的なリスクとなり得るか またリスク許容度の変化を判断するに際しては トップマネジメントとの密なコミュニケーションが不可欠である 5

8 第 2 のディフェンスラインであるリスク マネジメント部門 コンプライアンス部門等の間接管理部門は それぞれの責任領域において リスクを監督する部門である 当該部門は 間接部門であるが故 以下の課題を抱えていると考える 1 リスクの過大評価第 1 のディフェンスラインとは対照的に 第 2 のディフェンスラインに属する各部門では 自らの責任領域に係る業務を全うすることのみに焦点を当てた結果 リスクを過大に評価することがある そのような場合 現業部門で運用するには 過剰な統制を構築してしまうことがある 2 形式主義第 2 のディフェンスラインには 実質的なリスクコントロールが期待されているが 前例主義に陥り 書面を整えることが目的化されてしまっている場合がある このような場合 実質的な検討が行われず 形式的なチェックのみが行われる可能性が高い また 外部環境 内部環境 ( 組織設計含む ) の変化に対応せずに 以前からのモニタリング手続を継続していることもある このような場合 以前は 十分なアシュアランスの信頼性を有していたが 現在は十分に機能が果たせなくなっている場合がある 3 職務分掌の不明確さ組織の成長に伴い 間接管理部門を増設した際に 各間接管理部門の職務分掌が曖昧になっている場合がある このような場合 他の間接管理部門と重複したチェックを行い 経営資源の活用が非効率になっており また現業部門に過度の負担を強いているケースがある また これとは反対に 職務分掌が曖昧であるが故に 現業部門がリスクを過度に取ることや あるいは社内ルールに反する行動をとろうとした場合に 第 2 のディフェンスラインの特定の間接管理部門が これを適時に防止する動きを取ることが難しい場合がある 4 統制機能の形骸化上述した分掌の不明確さとも関係するが 業務処理の遂行が重視され統制機能については第二次的な活動と組織内で位置づけられる場合がある 業績評価においても 統制機能に関わる活動についてはほとんど評価されないこともある 結果として 統制機能に関わる活動が軽んじられ 第 2 のディフェンスラインにおける統制機能が形骸化することがある (3) 第 3 のディフェンスラインにおける課題第 3 のディフェンスラインは 内部監査により 独立したアシュアランスを提供するディフェンスラインである 内部監査部門は 第 1 第 2 のディフェンスラインによるリスクマネジメントとコントロール目標の有効性と達成状況を含め ガバナンス リスクマネジメント及びコントロールの有効性に関するアシュアランスを提供する 内部監査部門が提供する通常のアシュアランス範囲は 以下の通りである 業務の効率性と有効性 財務報告の信頼性 法令遵守 資産保全 統制環境 リスク評価 情報と伝達 モニタリング活動 コントロール活動 ビジネスプロセス組織 子会社 業務 管理部門の全体 独立性の観点からは 第 3 のディフェンスラインは第 2 のディフェンスラインよりも独立性が高く また報告先の観点からは 第 2 のディフェンスラインの報告先が主に経営管理者であることに対し 第 3 のディフェンスラインの報告先は経営管理者のみならず 取締役会や内部統制委員会などの統治機関も含むことが特徴である 第 3 のディフェンスラインである内部監査部門は 独立した立場から監査を行い 仮に不備があった場合それを発見して修正を提案することで 適切な組織運営を可能とすることが期待される部門である 組織の規模に係らず 専門的な内部監査部門の設置は重要である しかしながら 我が国にあっては 企業によっては トップマネジメントや他部門から 内部監査部門が必ずしも高く評価されていないことがあり 上場を維持する ないし IPO を果たすために必要な 義務的に設置しているコスト部門 と捉えられている傾向も見受けられる その結果 以下のような課題があると考えられる 1 適切な監査を行うことのできる人材の不足 6

9 トップマネジメントが内部監査部門の必要性を十分に認識していないために 内部監査部門に対して場当たり的な人事が行われることがある その場合 他の専門部署であれば人員の配置に際して検討されるであろう 当該業務への適性や経験 専門性等が十分に検討されないことがある 結果として監査を行うのに適切な人材が配置されないことがある 日本企業においては 内部監査人をプロフェッションとして認識 採用する風土が十分に醸成されておらず 内部監査人の流動性を担保するための転職市場が十分に育っていない可能性がある 内部監査人の外部採用に対する企業側の意識 および内部監査人の流動性を担保するためのインフラの双方に課題がある可能性があり 結果として 即戦力となる人材の採用による人材の確保 体制の整備が進まないことがある トップマネジメントが内部監査部門の必要性を十分に認識していないために 計画的に内部監査人を育成する必要性が認識されず 体系的な研修プログラムや適切な研修を通じた人材育成が行われないことがある 結果として我が国におけるプロフェッションたる内部監査人の育成 質の向上が進まず 人材の育成等を通じた組織の全般的な向上 成熟等が達成されないことがある 2 内部監査部門を取り巻く環境内部監査部門の必要性がトップマネジメントに十分に理解されていない場合 トップマネジメントや他部門との適切なコミュニケーションが取れないことがある また 統制に関わる是正 改善指導を含むコンサルティング機能について期待されず 発揮できていないことがある 組織内において内部監査部門の実質的な立場が低い場合 部門構成員のモチベーションが低下することや 組織としての機能 能力拡充が進まないことがある 以上のように トップマネジメントや他部門からの評価が低い等の要因により 適切な人材を確保することができないことがある 結果として適切な監査を行うことができず そのことが更なる期待や評価の下落を招くという 悪循環に陥っている可能性がある 独立した立場からのアシュアランス機能 更には統制の是正 改善に関わるコンサルティング機能も十分に発揮できないことになる 第 3 章 有効な三層ディフェンスラインの整備に向けて三層ディフェンスラインというフレームワークを組織へ展開するという点から モデル化を検討し 各層における課題と解決の方向性を考察してきた これまで 三層ディフェンスラインのフレームの概要について述べてきたが ここでは これを具体的な組織活動に展開する上で 内部監査部門として経営に資するためには その中でどのような役割を果たすべきかについて検討する 有効な三層ディフェンスラインの整備にはどのようアプローチが考えられるだろうか 下図は 組織目的と COSO のフレームワーク および三層ディフェンスラインモデルの関係を図で表したものである これによると COSO フレームワークは 内部統制の 5 つの要素を通して 何がなされるべきかを示している 一方で 三層ディフェンスラインモデルは 誰がそれを担うべきかを示しており この図から 企業の目的達成には 誰が何を行うべきか という役割と行動を明確化することが 何よりも大切であると読み取ることができる 近時の問題事例に関する報告書でも各層の強化が挙げられている すなわち 各層の役割分担 ( 特に第一層 第二層 ) を明確にすること そしてそれを踏まえて各層を強化することが望まれているのである 7

10 出典 : 月刊監査研究 2015 年 10 月号 企業の特質は様々であり 特に第 1 のディフェンスラインと第 2 のディフェンスラインの切り分けについては注意が必要である 例えば 財務管理機能は第 2 のディフェンスラインに位置付けられているが これが特定の支店の財務管理部署であれば その支店を統括している本社とは役割が異なる場合も多々ある為 特定の支店の財務管理部署は第 1 のディフェンスラインと区分したほうが良いケースがあるだろう また 名称だけで第 1 のディフェンスラインと見られがちな業務部や総務部が 第 2 のディフェンスラインである全社のリスクマネジメントやコンプライアンス機能を担っている場合もありえる つまり 現業部門の経営者による支配が行き届いていないこと 又は上級経営者の下にあり 通常ある程度の経営機能を果たしていれば 第 1 のディフェンスラインではなく第 2 のディフェンスラインへ区分けすることとなる ( 上述した経営機能とは 導入戦略の定義づけや リスクの専門知識の提供 方針と手続きの導入 リスクとコントロールの全社的な視点を生み出すための情報収集の支援 コントロールとリスクの継続的モニタリングの責任 等の要素を総称したものである ) 次に 各層の強化の方向性を考察する (1) 第 1 のディフェンスラインの整備について第 1 のディフェンスラインの課題を踏まえ 以下のような整備の方向性が考えられる 1 リスクを適切に評価する企業風土の醸成第 1 のディフェンスラインが リスクを過小に評価して活動した結果 企業が想定している以上のリスクを負担するといったことを避けるため 企業が負担しうるリスクに対する共通認識を持ち リスクレベルを適切に評価しコントロールを行っていく企業風土の醸成を図る 2 社内ルールに係る研修等の実施及び簡素化現業部門が社内ルールを遵守することの重要性を理解していない場合 又は 社内ルールの存在自体認識していない場合 研修や事例研究等を実施することにより 社内ルールに対する理解を深めてもらうことが有用である また 社内ルール自体も 簡素で理解しやすく 実践可能なものとすることが必要であると考える 3 業績評価システムの見直し意図的なレポーティングの隠ぺい 改ざんは 業績評価システムが 部門業績によって測られることや 適切なレポーティングを評価しない ( 場合によっては評価を下げられる ) ことによって引き起こされることが多々あると考える そうした問題を解決するには 業績評価システム自体を見直すことが必要な場合もあろう 8

11 (2) 第 2 のディフェンスラインの整備について第 2 のディフェンスラインの課題を踏まえて 以下のような方向性が考えられる 1 リスクの評価基準の明確化リスクの過大評価を防止するためには リスク評価について 企業としての判断基準を明確にしておくことが望ましいと考える 当該基準を明確にすることで 第 2 のディフェンスラインである間接管理部門は 現業部門に過度の負担を与えずに かつ有効な統制を構築し モニタリングを実施することができよう 2 チェック項目及び手続に対する毎期の見直し前例主義を排除し 信頼性あるアシュアランス レベルを保持するために 毎期定期的に 外部環境 内部環境の変化を把握し 当該変化に対応したチェック項目及び実施する手続の見直しを行うことが望まれる 3 職務分掌の明確化経営資源の有効活用及び現業部門への負担軽減の観点から 重複したチェックがなされないように 各間接管理部門の職務分掌を明確にしておく必要がある 各間接管理部門の職務分掌を明確にしておくことは 現業部門が 過度にリスクを取るような行動 計画を採用したり あるいは社内ルールに反する行動をとった場合に 第 2 のディフェンスラインのどの間接管理部門が対応にあたるか 組織として適時に対応するためにも必要である 4 統制機能の明確化上述した分掌の明確化の一環として 統制機能が通常の業務処理と並ぶ主要機能であることを組織内で明確に位置づけることである 業績評価においても 統制機能に関わる活動を主要な評価対象として含めることが必要である また 第 2 のディフェンスラインの構成は 組織の規模や業界により異なる 即ち 組織の複雑さやビジネス特性などの内部的要因や業界を取り巻く規制の程度などの外部的要因等 リスクに応じた設計が検討されるべきである (3) 第 3 のディフェンスラインの整備について第 3 のディフェンスラインの課題を踏まえて 以下のような方向性が考えられる 1 トップマネジメントとのコミュニケーション上述の課題の多くは 内部監査部門に対するトップマネジメントからの評価の低さに起因していると考える このため まずはトップマネジメントに対して 本来内部監査部門がどのような役割を果たすことが可能で それが経営にとって どのような好影響をもたらすのかということを説明し 内部監査部門の必要性や役割に対する理解を深めてもらうことが重要と考える また その上で 内部監査部門として トップマネジメントが当該部門に何を期待しているかということを理解し これに沿った適切なレポーティングを行うことで トップマネジメントの内部監査部門に対する評価を高めていくことが重要であると考える 2 適切な人材の配置監査をより効果的 効率的に進めていくために どのような人材が必要かについて トップマネジメントと内部監査部門で協議を行い そこで必要なバックグラウンドや専門性を持つ人材を配置する人事施策を講じることが必要である そのための解決策として トップマネジメントへのキャリアパスとして内部監査部門を組み込むといった解決策が考えられる なお 本研究会では 内部監査人には 以下の資質及び環境も必要であるとの意見があった 国際的な内部監査実施基準に従って行動している 責務を十分に果たせるよう 独立的な組織に属している 取締役会などに対する 能動的かつ効果的な報告ラインがある 3 研修プログラムの確立 9

12 内部監査人の育成 及び専門性の向上に対する解決策としては プロフェッション育成のための体系だった研修プログラムや ベストプラクティスの蓄積及びその共有といった適切な研修プログラムを社内 又は複数企業で共同して開発していくことが考えられる 第 4 章 内部監査部門が今後進むべき方向性についての提案ポジションペーパーにも書かれているように 三層ディフェンスラインモデルは 有効な内部統制やリスクマネジメントの達成という面から上級経営陣や Governing Body が主導することになる この三層ディフェンスラインモデルの組織への展開を推進する上での要件としては トップマネジメントにおける理解 認識ということと 取組みに際してトップマネジメントを支援する機能の存在という 2 つのことが考えられるが それぞれについて内部監査部門の取り組みの方向性を検討する 第 1 点目に関しては 上級経営陣や Governing Body とのコミュニケーションを密に行い 内部監査で把握した内部統制の状況とそれを踏まえた統制の是正 改善活動の報告などにより 日頃から内部統制の整備の重要性を強く訴求し このことを通じて三層ディフェンスラインのフレームワークに対する彼らの認識の醸成を図るということである 上級経営陣や Governing Body が有効な内部統制 リスクマネジメント体制の整備に向けて 三層ディフェンスラインのフレームワークを組織に反映していくことの意義を十分に理解し 結果として 彼らが三層ディフェンスラインのフレームワークを組織に反映することを主導する意思を表明し この取り組みに関する第三層の活動について支援を表明するようになることである 第 2 点目の支援については 三層ディフェンスラインモデルの組織への展開にあたり 内部監査部門が 当該組織の統制に関わる情報を提供することと 全体調整に関するアドバイスを提供することなどにより トップマネジメントの取り組みを支援することである 上級経営陣や Governing Body は 組織の現状の課題を把握し 改善の方向性 方針を検討 策定し 実施していくことになるが そのために 進捗状況を確認し 適宜改善策を推進すること そしてこれら一連の活動を継続することが必要になる ここで 内部監査部門は その独立性と客観性 更には内部統制 リスクマネジメントについての専門性を以て 組織におけるリスクおよび内部統制の状況に関する情報を提供するとともに 全体最適の視点から組織の整備 運用に関してアドバイスするなど 上級経営陣や Governing Body による指揮 指導などの活動を支援することができるだろう 具体的には 内部監査部門は 内部監査を通じて 第 1 第 2 のディフェンスラインのガバナンス リスクマネジメント及びコントロールの有効性を評価し ( 第一層 第二層の機能の状況などを含む ) 不備がみられた場合には必要な改善 是正の方向性を提示し その進捗状況を評価 確認する また これらの改善 是正の推進にあたっては ポジションペーパーの中で挙げられている各層間の適切な役割の調整 ( 特に第一層と第二層 ) これによる内部統制やリスクマネジメント活動の漏れと重複の解消について 適宜アドバイス等を提供すること等ができるだろう これらの一連の活動を継続的に遂行することを通じて 上級経営陣や Governing Body が進める第 1 のディフェンスライン 第 2 のディフェンスラインの整備を確実に実行することを支援するのである 内部監査部門の活動について対象 内部統制面での寄与 三層ディフェンスラインモデルでの寄与 上級経営陣や Governing 統制状況についての保証 全体最適に向けたコンサルティング Body 第一層 統制状況の評価 是正 改善支 各層間の調整 ( 分掌領域等 ) 第二層 援 これらのことを達成するうえで 内部監査部門には 次のことが求められるだろう 1 組織におけるリスクおよび内部統制の状況に関する情報を提供する能力 全体最適の視点から組織の整備 運用に関する適切なアドバイスをする能力を有すること 2 三層ディフェンスラインのフレームワークを組織に反映する取り組みに関与できる能力を十分に有しているということを 日頃の活動の中で証明すること 内部監査部門が トップマネジメントとコミュニケーションをとることは当然必要だが 同時に上記の 2 点に向けて 体制整備 能力の具備 拡充に努めることもまた必要なことと思われる 10